Microsoft noemt CardSpace-hack onzin
Vorige week demonstreerden Duitse onderzoekers van het Institut für IT-Sicherheit hoe Microsoft's CardSpace, een Windows Vista applicatie om verschillende digitale identiteiten van de gebruiker te beheren, te kraken is. In plaats van steeds gegevens op een website in te vullen, kan een gebruiker een identiteit kiezen waarna hij alleen de te versturen informatie moet bevestigen. De informatie wordt in de vorm van een gegenereerde token naar de website verstuurd. De Duitse hackers wisten via pharming het token te onderscheppen, waardoor een aanvaller zich voor het slachtoffer kan uitgeven.
Microsoft heeft nog niet officieel op de hack gereageerd en gaat dat waarschijnlijk ook niet doen, zegt Microsoft beveiligingschef Roger Halbheer. "Waarom? Omdat de hele setup in mijn ogen onzin is. Het komt erop neer dat je alle waarschuwingen van het OS moet negeren en alle in Vista aanwezige beveiliging moet uitschakelen, dan is het mogelijk om CardSpace aan te vallen. Maakt dit me zenuwachtig? Niet echt."
Halbheer ontkent niet dat het onmogelijk is om een pharming-aanval uit te voeren, maar hiervoor is wel hulp van de gebruiker benodigd. Iets wat ook geldt voor het compromitteren van de Certificate Store. "Ze lieten niet zien hoe je een certificaat in de Trusted Root store krijgt zonder de nodige hulp van de gebruiker of een Certificate provider zover krijgt om een certificaat uit te geven voor een website waarvan je niet de eigenaar bent." Halbheer laat het publiek dan ook beslissen of dit werkelijk een beveiligingslek is.
"Je weet dat we beveiligingslekken in onze software serieus nemen, maar wat de studenten hebben gedaan is, met alle respect voor hun werk, onverantwoord. Het is misschien cool voor ze om Microsoft te beschuldigen en lekken in onze software te laten zien, maar als je dit doet, zorg er dan alsjeblieft voor dat het om een echt lek gaat, zonder de uitgebreide hulp van de gebruiker." Ook Microsoft 'Chief Architect of Identity' Kim Cameron bestrijdt dat de dienst gehackt is en toont deze video als bewijs.
beveiligingslek is."
Hoe beslist "het publiek" dat ?
"Halbheer laat het publiek dan ook beslissen of dit
werkelijk een
beveiligingslek is."
Hoe beslist "het publiek" dat ?
Vrij eenvoudig: Indien de dienst nog steeds gebruikt wordt,
dan beslist het publiek voor. Wordt de dienst massaal niet
meer gebruikt, dan stemt het publiek tegen. De statistieken
worden door de leverancier aangeleverd ;-)
Wij van WC-eend adviseren WC-eend
Hoe beslist "het publiek" dat ?
wat de trend is aan wat klanten aangeven als veilig of
onveilig te zien. MS en Halbheer hebben hun eigen agenda in
deze (on)veilige situatie, maar uiteindelijk draait het om
de klant.
neer dat je alle waarschuwingen van het OS moet negeren en
alle in Vista aanwezige beveiliging moet uitschakelen\"
Sjah... En wat doet de gemiddelde gebruiker die genoeg heeft
van bijv de popups van UAC? Juist ja: uitschakelen. Of is
dat ook onzin?
Denk het niet want anders zou MS niet z\'n best doen om ons
te vertellen dat we het allemaal niet begrijpen:
http://www.google.com/search?q=Five+Misunderstood+Features+in+Windows+Vista
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
